Bezpieczna Polska w cyfrowej erze. Strategia Cyberbezpieczeństwa na lata 2017-2022 [ANALIZA]

Czwartek, 02 Marca 2017, 10:55 Streżyńska
Czwartek, 02 Marca 2017, 10:55 cyberspace
  • Streżyńska
  • cyberspace

Międzyresortowa grupa robocza zakończyła prace nad projektem Strategii Cyberbezpieczeństwa na latach 2017-2022. Polska za 5 lat ma być bardziej odporna na cyberataki z dobrze prosperująca gospodarką cyfrową. Dokument wymienia też konieczność posiadania ofensywnych zdolności w cyberprzestrzeni.

Międzyresortowa grupa robocza składająca się z przedstawicieli ministerstw Cyfryzacji, Obrony Narodowej, Spraw Wewnętrznych i Administracji oraz Agencji Bezpieczeństwa Wewnętrznego, Rządowego Centrum Bezpieczeństwa, Biura Bezpieczeństwa Narodowego i NASK zakończyła prace nad projektem Strategii Cyberbezpieczeństwa. Jeśli dokument uzyska pozytywną opinię Komitetu Rady Ministrów ds. Cyfryzacji – trafi pod obrady rządu. Później zostanie przyjęta w drodze uchwały.

Celem nowej strategii jest określenie ram działań, które mają na celu uzyskanie wysokiego poziomu odporności systemów teleinformatycznych, operatorów usług kluczowych, operatorów infrastruktury krytycznej, dostawców usług cyfrowych oraz administracji publicznej. Cel nowej strategii jest bardziej precyzyjnie zdefiniowany, niż w Polityce Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej, gdzie dążono do osiągnięcia „akceptowalnego poziomu bezpieczeństwa cyberprzestrzeni”. Zapisy nowej strategii wskazują szeroki obszar ochrony. Polski rząd ma zamiar również zadbać o bezpieczeństwo elementów, które znajdują się w rękach prywatnych.

Strategia zakłada również zwiększenie skuteczności organów ścigania i wymiaru sprawiedliwości w wykrywaniu i zwalczaniu przestępstw oraz działań o charakterze terrorystycznym i szpiegowskim w cyberprzestrzeni. Nowy dokument jest zgodny z dyrektywą NIS Unii Europejskiej.

Czytaj także: Polska: rośnie zagrożenie cyberprzestępczością. Raport MSWiA

Autorzy chcą uczynić w 2022 Polskę krajem bardziej odpornym na ataki i zagrożenia płynące z cyberprzestrzeni, w którym będzie możliwe bezpieczne realizowanie wszystkich funkcji państwa i wykorzystanie potencjału gospodarki cyfrowej. Podobna wizja znalazła się w dokumencie strategicznym Wielkiej Brytanii.

Strategia definiuje 4 szczegółowe cele: 

  1. Osiągniecie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów naruszających bezpieczeństwo systemów teleinformatycznych istotnych dla funkcjonowania państwa,
  2. Wzmocnienie zdolności do przeciwdziałania zagrożeniom,
  3. Zwiększenie potencjału narodowego oraz kompetencji w zakresie bezpieczeństwa w cyberprzestrzeni,
  4. Zbudowanie silnej pozycji międzynarodowej RP w obszarze cyberbezpieczeństwa,

W ramach realizacji pierwszego celu zapowiada się zmiany w prawie, głównie wskazując na efekty implementacji dyrektywy NIS dla polskiego porządku legislacyjnego. Ponadto zakłada się udoskonalenie struktury krajowego systemu cyberbezpieczeństwa. Słusznie podkreślono, że dotychczasowe działania podmiotów w obszarze cyberbezpieczeństwa w sferze cywilnej były rozproszone i cechowały się niską skutecznością. Powstanie skutecznego systemu cyberbezpieczeństwa ma być możliwe poprzez skonsolidowanie i zharmonizowanie działań wszystkich podmiotów.

W porównaniu do poprzedniego projektu strategii nie wskazano Ministerstwa Cyfryzacji jako podmiotu koordynującego działania instytucji na poziomie strategicznym. Na poziomie operacyjnym, podobnie jak w poprzednim projekcie podkreślono znaczenie NCC i CSIRT Narodowego i konieczność ich rozbudowy. W ramach pierwszego celu strategia zakłada zwiększenie efektywności współdziałania podmiotów zapewniających bezpieczeństwo cyberprzestrzeni RP i tutaj stawia się na głównie na wymianę informacji. Ponadto podkreślono priorytet ochrony infrastruktury krytycznej, w tym w ramach koncepcji budowy klastrów bezpieczeństwa, przedstawionej w poprzednim projekcie.

Zakres pierwszego celu szczegółowego obejmuje też opracowanie i wdrożenie standardów oraz dobrych praktyk bezpieczeństwa sieci i systemów informatycznych. Zapowiada się w tym obszarze wykorzystanie polskiego potencjału naukowego do opracowania takich standardów oraz przekształcenia już istniejących w bardziej praktyczne. Ponadto postuluje się stworzenie systemu zarządzania ryzykiem na poziomie krajowym. W jego ramach zostanie opracowania spójna metodyka szacowania ryzyka, uwzględniająca specyfikę poszczególnych sektorów, a także operatorów infrastruktury krytycznej, usług kluczowych i dostawców usług cyfrowych.  

Czytaj także: PKO BP ostrzega przed cyberatakami na konta bankowe

Ważnym elementem uwzględnionym w założeniach pierwszego celu szczegółowego jest konieczność zapewnienia bezpieczeństwa łańcucha dostaw, w skład którego wchodzą: podsystemy produkcji, dystrybucji, transportu, magazynowania oraz recyklingu komponentów systemów teleinformatycznych. Biorąc pod uwagę, że często zdarza się instalowanie „tylnych furtek” (czyli rozwiązań pozwalających na penetrację systemów) na tym etapie, jest to bardzo ważny postulat. Ostatnim punktem realizacji pierwszego celu szczegółowego ma być zbudowanie systemu ostrzegania przed zagrożeniami. Nie podano jednak żadnych szczegółów w tej kwestii.

W ramach drugiego celu szczegółowego zakłada się zwiększenie zdolności do zwalczania cyberprzestępczości i cyberszpiegostwa poprzez wymianę informacji, współpracę międzynarodową  czy lepszą koordynację między różnymi instytucjami. Zakłada się też zapewnienie zdolności do prowadzenia pełnego spektrum działań militarnych w cyberprzestrzeni w tym zwalczania źródeł zagrożeń, co dość jednoznacznie wskazuje na dążenie do dysponowania . Postulat ten nie jest jednak nowy i pojawił się już wcześniej w doktrynie cyberbezpieczeństwa BBN.

Wymiar militarny zostanie więc uwzględniony w strategii sygnowanej przez cywilną instytucję Ministerstwa Cyfryzacji.  Ponadto w ramach realizacji drugiego celu zamierza się stworzyć centrum analityczne, którego rolę ma pełnić Narodowe Centrum Cyberbezpieczeństwa. Kolejny element to zbudowanie bezpiecznej komunikacji. Wreszcie, planowane są testy i audyty. Przewiduje się tutaj prawne uregulowanie programów bug-bounty (czyli sprawdzeń systemów bezpieczeństwa, przeprowadzanych przez hakerów zgłaszających akces do programu), które są coraz popularniejsze na świecie. 

Cel trzeci zakłada zwiększenie potencjału narodowego poprzez rozbudowę zasobów przemysłowych i technologicznych. Strategia odwołuje się tutaj do Programu Enigma z Planu Morawieckiego, co ma pozwolić na konkurowanie na rynku europejskim technologii IT. Ciekawym rozwiązaniem jest również zapowiedź hubów innowacyjnych, które mają wesprzeć polskie przedsiębiorstwa na globalnym rynku oraz zwrócenie dużej uwagi na wsparcie start-upów.

W zrealizowaniu celu trzeciego ma również pomóc współpraca między miedzy sektorem państwowym i prywatnym, choć nie podano konkretnych rozwiązań w tym obszarze. Rozumiany całościowo potencjał narodowy nie może zostać zbudowany bez badań i rozwoju w obszarze bezpieczeństwa teleinformatycznego. Dlatego planuje się w ramach Narodowego Centrum Badań i Rozwoju uruchomienie programu badawczego, który będzie miał na celu przygotowanie i wdrożenie  metod ochrony przed zagrożeniami pochodzącymi z cyberprzestrzeni. Ostatni punkt to edukacja zarówno na poziomie eksperckim, administracji państwowej jak i zwykłych obywateli, aby zwiększyć świadomość zagrożeń pochodzących ze świata wirtualnego.

Czytaj także: Ekspert: Cyberprzestrzeń wesprze twardą siłę militarną. "Nie ma potrzeby przekraczania granic"

Ostatni cel szczegółowy to zbudowanie silnej pozycji Polski na arenie międzynarodowej. Będzie to wymagało aktywnej roli Ministerstwa Spraw Zagranicznych. Cel czwarty ma zostać zrealizowany poprzez współpracę polityczno-strategiczną i operacyjno-techniczną. W ramach tej pierwszej wspomniano o takich organizacjach jak NATO, ONZ i UE. W przypadku Unii Europejskiej wspomniano o Wspólnej Polityce Bezpieczeństwa i Obronności, jednak na razie współpraca w zakresie cyberbezpieczeństwa w jej ramach jest ograniczona - choć może być dalej rozwijana.

Dodatkowo zwrócono uwagę na ugrupowania regionalne jak Grupa Wyszehradzka czy z państwami regionu Morza Bałtyckiego. Wskazuję się również na konieczność udziału polskich ekspertów w forach oraz konferencjach międzynarodowych. W ramach współpracy operacyjno-technicznej strategia wspomina o konieczności dołączenia do różnych międzynarodowych sieci CSIRT. Podkreślono też konieczność opracowania wspólnych procedur działania w ramach UE i NATO oraz Grupy V4.

Strategia cyberbezpieczeństwa zostanie uchwalona na następne 5 lat. Co roku Minister Cyfryzacji będzie przygotowywał sprawozdanie o postępach wprowadzenia dokumentu w życie. Zostanie również w terminie do 6 miesięcy od uchwalenia strategii przygotowany „Plan działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa”, w którym mają być m.in. oszacowane koszty wdrożenia strategii. Poza tym planuje się wykorzystać zasoby Narodowego Centrum Badań i Rozwoju oraz w miarę możliwości środki unijne.

Dokument w dużej mierze kontynuuje i rozwija zapisy projektu z września 2016 roku. Nie definiuje jednak konkretnie roli i funkcji danych instytucji. Nie podkreśla również koordynacyjnej roli Ministerstwa Cyfryzacji na poziomie strategicznym. Ponadto nie wspomniano o monitorowaniu punktów wymiany ruchu internetowego, co było jednym z ważniejszych elementów poprzedniego planu. Istotnym elementem dodanym do strategii jest natomiast informacja o uchwaleniu planu działania na rzecz wdrożenia Strategii Cyberbezpieczeństwa, w którym zawarte zostaną szczegóły m.in. odnośnie finansowania.

Strategia porusza najważniejsze zagadnienia, który spotykamy w podobnych dokumentach innych państw i stanowi dobrą podstawę do dalszych prac. Jednym z rozwiązań wydaje się tutaj rozwinięcie celów szczegółowych w „Planie działań na rzecz wdrożenia Strategii Cyberbezpieczeństwa”. Obecnie najważniejsze jest jak najszybsze wdrożenie dokumentu, co pozwoli na rozpoczęcie skoordynowanych prac nad poszczególnymi obszarami szczegółowymi, jak i ustawą o cyberbezpieczeństwie.



Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz

3 komentarze

Edzio Piątek, 03 Marca 2017, 14:14
jeszcze co najmniej jeden ukryty cel:
5. możliwość przeprowadzenia cyberataku jako kontruderzenia.
TowariszczJacho Niedziela, 05 Marca 2017, 14:14
Taak można i tak, tylko jak komuś udowodnić, że chciał przeprowadzić atak - to jest bzdura. Prawo nie przewiduje "dowodu" uzasadniającego rozróżnienie, pomiędzy "świadome" i "umyślne" - jedynie przyznanie się do "umyślnego" działania jest uznawane za "dowód" inaczej zawsze może być "nieumyślne" - decyzja należy do "niezawisłego" sądu - bo jeszcze nikt "tej kasty" nie wywie ...sił
TowariszczJacho Czwartek, 02 Marca 2017, 19:00
Międzyresortowa ... ? A miała być przejrzysta odpowiedzialność i decyzja w jednym "ręku". Jesteśmy nadal kilka lat za ... i takie działania nie przyniosą, żadnego efektu bo nie ma wśród uczestników "cyfrowej wyobraźni" w zakresie moźliwych-uprzedzająco wykrytych wektorów zmian - efekt będzie taki, że działania będą post-faktum - czyli o jeden raz zbyt późno ... anonymous i rozliczalność jest kierunkiem zmian a nie wymiana informacji o incydentach - na wymianie informacji mogą polegać zarówno obroncy jak i atakujący a nigdy nnie będzie wiadomo kiedy - kto jest i będzie kim